Código HTML do Conteúdo
Post: Várias vulnerabilidades nas operações do VMware Aria e nas ferramentas da VMware podem permitir o escalonamento de privilégios - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div data-v-c7dc94ea="">
<div data-v-c7dc94ea="">
<div data-e2e-id="cis-resource-advisory">
<div>
<div>
<h4>NÚMERO DO AVISO MS-ISAC:</h4>
<p><span>2025-092</span></p>
</div>
<div>
<h4>DATA(S) DE EMISSÃO:</h4>
<p><span>09/30/2025</span></p>
</div>
<div>
<h4>VISÃO GERAL:</h4>
<p><span>Várias vulnerabilidades foram descobertas no VMware Aria Operations e no VMware Tools, a mais grave das quais pode permitir o escalonamento de privilégios para root. O VMware Aria é uma plataforma de gerenciamento multi-cloud que fornece automação, operações e gerenciamento de custos para aplicativos e infraestrutura em ambientes de nuvem privada, pública e híbrida. A exploração bem-sucedida da mais grave dessas vulnerabilidades pode permitir o escalonamento de privilégios para a raiz. Um invasor poderia então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.</span></p>
</div>
<div>
<h4>INTELIGÊNCIA DE AMEAÇAS:</h4>
<p><span>NVISO indica que a vulnerabilidade CVE-2025-41244 foi explorada como um dia zero desde meados de outubro de 2024 pelo agente de ameaças vinculado à ChinaUNC5174.</span></p>
</div>
<div>
<h4>SISTEMAS AFETADOS:</h4>
<ul>
<li>Versões do VMware Cloud Foundation Operations anteriores à 9.0.1.0</li>
<li>Versões do VMware Tools anteriores a 13.0.5.0, 13.0.5 e 12.5.4</li>
<li>Versões do VMware Aria Operations anteriores à 8.18.5</li>
</ul>
</div>
<div>
<h4>RISCO:</h4>
<div>
<div>
<h5>Governo:</h5>
<p><span>Grandes e médias entidades governamentais</span><span>ALTO</span></p>
<p><span>Governo pequeno</span><span>MÉDIA</span></p>
</div>
<div>
<h5>Empresas:</h5>
<p><span>Entidades de grandes e médias empresas</span><span>ALTO</span></p>
<p><span>Entidades de pequenas empresas</span><span>MÉDIA</span></p>
</div>
</div>
</div>
<div>
<h4>RESUMO TÉCNICO:</h4>
<div>
<p><span>Várias vulnerabilidades foram descobertas no VMware Aria Operations e no VMware Tools, a mais grave das quais pode permitir o escalonamento de privilégios para root. Os detalhes da vulnerabilidade são os seguintes:</span></p>
<p><strong>Tática</strong><span>: </span><em>Escalonamento de privilégios </em><span>(</span><a href="https://learn.cisecurity.org/e/799323/tactics-TA0004/4vkw2y/2545582198/h/VqwhsuW8qag1quP_DYuOSmfwTlMaRzqHEhvgCsvz2Qo" rel="noopener noreferrer" target="_blank"><u>TA0004</u></a><span>):</span></p>
<p><strong>Técnica</strong><span>: </span><em>Exploração para escalonamento de privilégios </em><span>(</span><a href="https://learn.cisecurity.org/e/799323/techniques-T1068/4vkw32/2545582198/h/VqwhsuW8qag1quP_DYuOSmfwTlMaRzqHEhvgCsvz2Qo" rel="noopener noreferrer" target="_blank"><u>T1068</u></a><u>)</u><span>:</span></p>
<ul>
<li><span>Um ator local mal-intencionado com privilégios não administrativos que tenha acesso a uma VM com o VMware Tools instalado e gerenciado pelo Aria Operations com o SDMP ativado pode explorar essa vulnerabilidade para escalar privilégios para root na mesma VM. (CVE-2025-41244)</span></li>
<li><span>Um agente mal-intencionado com privilégios não administrativos no Aria Operations pode explorar essa vulnerabilidade para divulgar credenciais de outros usuários do Aria Operations. (CVE-2025-41245)</span></li>
<li><span>Um ator mal-intencionado com privilégios não administrativos em uma VM convidada, que já está autenticada por meio do vCenter ou do ESX, pode explorar esse problema para acessar outras VMs convidadas. A exploração bem-sucedida requer conhecimento das credenciais das VMs de destino e do vCenter ou ESX. (CVE-2025-41246)</span></li>
</ul>
<p><span>A exploração bem-sucedida da mais grave dessas vulnerabilidades pode permitir o escalonamento de privilégios para a raiz. Um invasor poderia então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.</span></p>
</div>
</div>
<div>
<h4>RECOMENDAÇÕES:</h4>
<div>
<p><span>Recomendamos que as seguintes ações sejam tomadas:</span></p>
<ul>
<li><span>Aplique as atualizações apropriadas fornecidas pela Broadcom ou por outros fornecedores que usam este software a sistemas vulneráveis imediatamente após o teste apropriado. (</span><a href="https://learn.cisecurity.org/e/799323/mitigations-M1051-/4vkw48/2545582198/h/VqwhsuW8qag1quP_DYuOSmfwTlMaRzqHEhvgCsvz2Qo" rel="noopener noreferrer" target="_blank"><strong><u>M1051</u></strong></a><strong>: Atualizar software</strong><span>)</span></li>
<li><strong>Salvaguarda 7.1 : Estabelecer e manter um processo de gerenciamento de vulnerabilidades: </strong><span>Estabeleça e mantenha um processo documentado de gerenciamento de vulnerabilidades para ativos corporativos. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta Salvaguarda.</span></li>
<li><strong>Salvaguarda 7.2: Estabelecer e manter um processo de correção:</strong><span>Estabeleça e mantenha uma estratégia de correção baseada em risco documentada em um processo de correção, com revisões mensais ou mais frequentes.</span></li>
<li><strong>Safeguard 7.4: Execute o gerenciamento automatizado de patches de aplicativos:</strong><span>Execute atualizações de aplicativos em ativos corporativos por meio do gerenciamento automatizado de patches mensalmente ou com mais frequência.</span></li>
<li><strong>Salvaguarda 7.5: Executar verificações automatizadas de vulnerabilidade de ativos corporativos internos: </strong><span>Execute verificações automatizadas de vulnerabilidades de ativos corporativos internos trimestralmente ou com mais frequência. Realize verificações autenticadas e não autenticadas, usando uma ferramenta de verificação de vulnerabilidades compatível com SCAP.</span></li>
<li><strong>Salvaguarda 7.7: Corrigir vulnerabilidades detectadas:</strong><span>Corrija vulnerabilidades detectadas no software por meio de processos e ferramentas mensalmente ou com mais frequência, com base no processo de correção.</span></li>
<li><strong>Salvaguarda 12.1: Garantir que a infraestrutura de rede esteja atualizada:</strong><span>Certifique-se de que a infraestrutura de rede seja mantida atualizada. Exemplo de implementaçãoOs programas incluem a execução da versão estável mais recente do software e/ou o uso de ofertas de rede como serviço (NaaS) atualmente suportadas. Revise as versões do software mensalmente, ou com mais frequência, para verificar o suporte ao software.</span></li>
<li><strong>Salvaguarda 18.1: Estabelecer e manter um programa de teste de penetração:</strong><span>Estabelecer e manter um programa de teste de penetração apropriado ao tamanho, complexidade e maturidade da empresa. As características do programa de teste de penetração incluem escopo, como rede, aplicativo Web, Interface de Programação de Aplicativos (API), serviços hospedados e controles de instalações físicas; frequência; limitações, como horas aceitáveis e tipos de ataque excluídos; informações de ponto de contato; correção, como a forma como as descobertas serão roteadas internamente; e requisitos retrospectivos.</span></li>
<li><strong>Salvaguarda 18.2: Executar testes periódicos de penetração externa:</strong><span>Realize testes periódicos de penetração externa com base nos requisitos do programa, pelo menos anualmente. O teste de penetração externa deve incluir reconhecimento corporativo e ambiental para detectar informações exploráveis. O teste de penetração requer habilidades e experiência especializadas e deve ser conduzido por uma parte qualificada. O teste pode ser uma caixa transparente ou uma caixa opaca.</span></li>
<li><strong>Salvaguarda 18.3: Corrigir resultados do teste de penetração:</strong><span>Corrija as descobertas do teste de penetração com base na política da empresa para escopo e priorização de correção.</span></li>
</ul>
<ul>
<li><span>Aplique o Princípio do Menor Privilégio a todos os sistemas e serviços. Execute todos os softwares como um usuário sem privilégios (sem privilégios administrativos) para diminuir os efeitos de um ataque bem-sucedido. (</span><a href="https://learn.cisecurity.org/e/799323/mitigations-M1026-/4vkw4c/2545582198/h/VqwhsuW8qag1quP_DYuOSmfwTlMaRzqHEhvgCsvz2Qo" rel="noopener noreferrer" target="_blank"><strong><u>M1026</u></strong></a><strong>: Gerenciamento de contas privilegiadas</strong><span>)</span></li>
<li><strong>Salvaguarda 4.7: Gerenciar contas padrão em ativos e software corporativos:</strong><span>Gerencie contas padrão em ativos e software corporativos, como raiz, administrador e outras contas de fornecedores pré-configuradas. Exemplos de implementações podem incluir: desabilitar contas padrão ou torná-las inutilizáveis.</span></li>
<li><strong>Salvaguarda 5.5: Estabelecer e manter um inventário de contas de serviço:</strong><span>Estabeleça e mantenha um inventário de contas de serviço. O inventário, no mínimo, deve conter o proprietário do departamento, a data de revisão e a finalidade. Execute revisões de conta de serviço para validar se todas as contas ativas estão autorizadas, em uma agenda recorrente no mínimo trimestralmente ou com mais frequência.</span></li>
</ul>
<ul>
<li><span>A verificação de vulnerabilidades é usada para encontrar vulnerabilidades de software potencialmente exploráveis para corrigi-las. (</span><a href="https://learn.cisecurity.org/e/799323/mitigations-M1016-/4vkw3c/2545582198/h/VqwhsuW8qag1quP_DYuOSmfwTlMaRzqHEhvgCsvz2Qo" rel="noopener noreferrer" target="_blank"><strong><u>M1016</u></strong></a><span>:</span><strong>Verificação de vulnerabilidades</strong><span>)</span></li>
<li><strong>Salvaguarda 16.13: Realizar Teste de Penetração de Aplicativos:</strong><span>Realize testes de penetração de aplicativos. Para aplicativos críticos, o teste de penetração autenticado é mais adequado para encontrar vulnerabilidades de lógica de negócios do que a verificação de código e o teste de segurança automatizado. O teste de penetração depende da habilidade do testador de manipular manualmente um aplicativo como um usuário autenticado e não autenticado.</span></li>
</ul>
<ul>
<li><span>Arquitetar seções da rede para isolar sistemas, funções ou recursos críticos. Use segmentação física e lógica para impedir o acesso a sistemas e informações potencialmente confidenciais. Use uma DMZ para conter todos os serviços voltados para a Internet que não devem ser expostos da rede interna. Configure instâncias separadas de nuvem privada virtual (VPC) para isolar sistemas de nuvem críticos. (</span><a href="https://learn.cisecurity.org/e/799323/mitigations-M1030-/4vkw3g/2545582198/h/VqwhsuW8qag1quP_DYuOSmfwTlMaRzqHEhvgCsvz2Qo" rel="noopener noreferrer" target="_blank"><strong><u>M1030</u></strong></a><span>:</span><strong>Segmentação de rede</strong><span>)</span></li>
<li><strong>Salvaguarda 12.2: Estabelecer e manter uma arquitetura de rede segura: </strong><span>Estabeleça e mantenha uma arquitetura de rede segura. Uma arquitetura de rede segura deve abordar a segmentação, o menor privilégio e a disponibilidade, no mínimo.</span></li>
</ul>
<ul>
<li><span>Use recursos para detectar e bloquear condições que possam levar ou ser indicativas da ocorrência de uma exploração de software. (</span><a href="https://learn.cisecurity.org/e/799323/mitigations-M1050-/4vkw3k/2545582198/h/VqwhsuW8qag1quP_DYuOSmfwTlMaRzqHEhvgCsvz2Qo" rel="noopener noreferrer" target="_blank"><strong><u>M1050</u></strong></a><span>:</span><strong>Proteção contra exploits</strong><span>)</span></li>
<li><strong>Salvaguarda 10.5:</strong><span></span><strong>Ative os recursos anti-exploração:</strong><span>Habilite recursos antiexploração em ativos e software corporativos, sempre que possível, como® Microsoft Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG) ou Apple® System Integrity Protection (SIP) e Gatekeeper™.</span></li>
</ul>
</div>
</div>
</div>
</div>
</div>
</div></div>